グーグルは6月15日、中国共産党（中共）政権に関連するとみられるサイバー諜報集団が、1年以上にわたりアメリカとカナダの学術機関、医療機関、軍事研究機関から密かにデータを窃取していたと発表した。グーグルは同グループの攻撃用インフラを特定し、無力化した。

グーグル脅威インテリジェンスグループ（GTIG）が公表した最新報告によると、ハッカーらは2023年9月から2025年11月にかけて、防衛情報、インド太平洋地域の軍事戦略、AI、自動運転システム、サイバー攻撃関連プロジェクト、医療研究に関する機密情報を大規模に収集していた。

米国とカナダの主要研究機関を標的

グーグルは被害を受けた組織名を公表していないが、公立・民間の医療機関、主要な学術研究機関、北米の軍事医療機関が含まれていたと明らかにした。

これらの機関は、創薬研究、臨床試験、国家レベルの公衆衛生政策、軍事即応体制などの重要分野に携わっている。職員数は数千人規模で、研究予算は総額で数十億ドルに上るという。

グーグルは、このサイバー諜報活動を「UNC6508」と呼ばれる新たなハッキング集団によるものと分析している。

GTIGのルーク・マクナマラ副主任アナリストは、攻撃手法がこれまで確認されてきた中国（中共）関連のハッカー活動と非常によく一致していると指摘した。目的は、中共当局が関心を持つとみられる情報の収集にあるという。

ロイターによると、この指摘について在米中共大使館は、取材に対し直ちに回答しなかった。中共政権は従来から、違法なサイバー侵入への関与や容認を否定している。

1年以上潜伏　メール機能を悪用

報告によると、攻撃は2023年9月に始まった。

ハッカーはまず、オンライン調査やデータベース管理に広く使われているウェブアプリケーション「REDCap」の外部サーバーの脆弱性を悪用した。そして「INFINITERED」と呼ばれる独自の不正プログラムを設置し、正規ユーザーの認証情報を盗み取った。

1年以上にわたり潜伏した後、同グループは取得した認証情報を使って組織内部のネットワークに侵入した。その後、発覚しにくい手法で情報収集を行った。

主な手口は次の通りである。

メールの内容確認ルールを悪用

ハッカーは、メールシステムに備わっている「内容確認ルール」機能を不正利用した。この機能は本来、特定の条件に合うメールを確認・処理するためのものだ。

特定キーワードによる監視

被害機関の職員の電話番号やメールアドレスに加え、地政学戦略、軍事戦略、先端技術、医療研究に関連する用語など、約150のキーワードを設定していた。

メールの自動転送

設定したキーワードに該当するメールが送受信されると、その内容が気づかれないよう、ハッカーが管理するGmailアカウントへ自動転送される仕組みだった。

チクングニア熱研究も標的か

グーグルのセキュリティエンジニアは、ハッカーが具体的に狙っていた情報の一つとして、蚊が媒介するウイルス感染症「チクングニア熱」に関する研究を挙げた。

この情報収集の時期は、2025年7月に中国広東省で発生したチクングニア熱の流行と重なっていたという。

記事執筆時点で、REDCap側はコメント要請に応じていない。

グーグルによると、同社の脅威インテリジェンス部門は、アメリカとカナダの複数の被害機関を最終的に特定し、すべての関係機関へ通知した。

今回の対策は、同部門のほか、サイバーセキュリティ企業マンディアント、脅威分析チーム、Workspaceセキュリティチームが共同で実施した。

各チームは、脅威情報、被害対応、不正プログラムの解析を組み合わせ、攻撃者による初期侵入から情報窃取に至るまでの全体像を解明したという。

また、攻撃の痕跡を示す情報は、すでにグーグルのセキュリティ運用基盤に反映されている。防御担当者はこれを利用して、ネットワーク内の潜在的な脅威を検知できるとしている。